Na British Airways mogelijk ook miljoenen boete voor Marriott

De Britse privacy toezichthouder (ICO) zit niet stil. Deze week kondigde het ICO aan British Airways te willen beboeten met een record boete. Slechts één dag later, gisteren, kondigt het ICO zijn tweede  voornemen aan: het beboeten van het Marriott met wederom een miljoenen boete: 99 miljoen pond oftewel 110 miljoen euro.

Datalek
Het voornemen om het Marriott een boete op te leggen volgt naar aanleiding van een cyberaanval in november 2018 bij Starwoods Hotel & Resorts. Tijdens deze datalek, waar ook mogelijk Nederlanders het slachtoffer van waren, maakten hackers ongeveer 339 miljoen persoonsgegevens buit van hotelgasten. Deze persoonsgegevens hadden betrekking op zo’n 30 miljoen gasten verspreid over 31 verschillende landen. De gegevens varieerden van naam, e-emailadres tot paspoort en creditcardgegevens. Gegevens waar hackers over het algemeen dol op zijn. Op de zwarte markt zijn deze datasets veel geld waard. Kwaadwillenden kunnen de gegevens gebruiken voor ‘phishing mails’ of identiteitsfraude.

Starwoods
Volgens het ICO is het datalek te wijten aan de kwetsbaarheden van de systemen van Starwood Hotel & Resorts. Het Marriott nam de keten over, maar nam niet de ‘gepaste zorgvuldigheid’ om de systemen van de overgenomen keten goed te beveiligen. De kwetsbaarheid van de systemen van Starwood Hotels dateerde volgens de toezichthouder al vanaf 2014. Marriott had meer kunnen en moeten doen om na te gaan of de systemen wel adequaat waren beveiligd.

Net als bij British Airways, acteert het ICO, als leidende toezichthouder bij het datalek, ook namens de andere Europese toezichthouders. Het ICO houdt dan ook nauw contact met andere toezichthouders. Deze kunnen reageren op het voornemen van het ICO om het Marriott een boete op te leggen. Het voornemen om het Marriott een boete op te leggen is hiermee de tweede aankondiging voor een miljoenenboete in één week.

Gepaste beveiligingsmaatregelen
Onder de AVG zijn organisaties verplicht om gepaste beveiligingsmaatregelen te treffen om persoonsgegevens te beschermen. Het niet adequaat beveiligen van systemen kan een organisatie duur komen te staan onder de AVG. Wat ‘passend’ is, hangt af per organisatie. Zo zal bijvoorbeeld meer van een hotelketen als het Marriott worden verwacht, dan van de bakker om de hoek. Het Marriott had weliswaar de data versleuteld, maar had de sleutel om de data te ontsleutelen op dezelfde systemen staan als de data zélf. Vergelijk het met een inbreker die de sleutel van de kluis op het nachtkastje vindt. Deze onzorgvuldigheid wordt een groot bedrijf al het Marriott dan ook verweten. De precieze omvang van de beschuldigingen zijn nog niet bekend: hiervoor zullen we de definitieve boetebeschikking moeten afwachten.

Autoriteit Persoonsgegevens
Hoewel in Europa de AVG-boetes langzaam op gang beginnen te komen, is er in Nederland nog géén AVG-boete gevallen. Wel heeft de Nederlandse toezichthouder haar boetebeleidsregels gepubliceerd. Dat kan een duidelijke aanwijzing zijn dat deze er wél gaan komen.

Terug naar overzicht